Laurent Treluyer (AP-HP) : « la crise Covid-19 a été la première crise pilotée par les données »

Pour commencer, pouvez-vous nous présenter l’AP-HP ?

L’AP-HP (Assistance Publique Hôpitaux de Paris) est un établissement public unique qui rassemble 39 établissements hospitaliers, essentiellement à Paris et proche banlieue mais pas seulement, regroupés en 6 GHU (groupements hospitalo-universitaires).

Nous avons le statut de centre hospitalier universitaire (CHU) et nous assurons donc, bien sûr, des missions de soin mais aussi de recherche et d’enseignement. Les PUPH (Professeurs Universitaires Praticiens Hospitaliers) sont d’ailleurs des collaborateurs à la fois de l’AP-HP et d’une université.

Quelques hôpitaux parisiens ne font pas partie de l’AP-HP, par exemple l’Institut Curie.

Comment est organisée la fonction numérique ?

Les DSI d’établissements dépendent des directeurs de GHU. Ils gèrent l’informatique de proximité (support…), la bureautique locale et des projets locaux. En cumulé, les personnels IT locaux représentent 350 collaborateurs.

La Direction des Services Numériques, avec 500 collaborateurs, s’occupe du parc applicatif, des infrastructures et de l’innovation. L’informatique embarquée dans les appareils d’imagerie et les autres équipements médicaux est gérée localement. Par contre, dès lors qu’une donnée sort des appareils, elle entre dans le camp de l’IT. Les PACS (Picture Archiving and Communication System, système de gestion des images médicales) sont dans le périmètre de la DSN.

Quelle est l’architecture générale du SI de l’AP-HP ?

Au sein des établissements, nous disposons bien sûr de notre propre réseau fibre mais, entre les établissements, nous utilisons le réseau de SFR. Nous envisageons de reprendre la gestion de ce réseau en louant de la fibre noire. Les besoins en capacités réseau ne cessent pas de s’accroître, notamment à cause de l’imagerie.

Nous avons deux datacenters en redondance hébergés (les serveurs nous appartiennent) et un datacenter interne pour le développement et les tests. Bien sûr, vue notre activité, nous sommes certifiés HDS (Hébergeur de Données de Santé) et ISO 27001. Nous regardons le cloud public, bien sûr, mais seulement des offres de confiance et souveraines.

Nous avons un peu de cloud privé mais les applicatifs métiers sont rarement compatibles. Par exemple, le dossier patient Dedalus est en mode client-serveur. Le PACS Philips envisage une évolution cloud d’ici 2026-2027… Les éditeurs du secteur ont réellement du mal à suivre les évolutions technologiques.

D’une manière générale, nous développons très peu et nous avons une stratégie applicative orientée produits d’éditeurs : « nous ne développons pas sauf… ». Notre quinzaine de développeurs sont là pour couvrir les besoins n’ayant pas de réponse satisfaisante à prix raisonnable sur le marché. En 2017, nous avons développé nous-mêmes un portail patient parce que les solutions de type CRM étaient ruineuses et de véritables usines à gaz au regard de nos besoins.

Alors, oui, nous savons que nous sommes dépendants des éditeurs et de leurs choix techniques. Et eux aussi le savent.

Les centres hospitaliers sont souvent attaqués depuis quelques années. Pourquoi et quelles mesures prenez-vous à l’AP-HP ?

C’est une impression trompeuse. En fait, les centres hospitaliers ne sont pas plus attaqués que les collectivités locales ou même que les entreprises privées. En discutant avec mes confrères au Cigref, je m’aperçois que les grandes entreprises sont plus souvent attaquées que les hôpitaux. Mais cela fait plus de bruit, c’est certain ! L’impact d’une cyber-attaque sur un centre hospitalier est immédiatement médiatique. Je ne connais pas, en France, de cas d’attaque ciblée sur un centre hospitalier. Ce sont à chaque fois des attaques opportunistes : les pirates ont vu une porte ouverte et ils sont rentrés (c’est un peu différent aux Etats-Unis).

Les conséquences pratiques d’une cyber-attaque sur un hôpital sont bien plus graves que sur une entreprise. C’est évidemment un risque sanitaire majeur si on ne peut plus assurer de soins hospitaliers sur tout un territoire.

Un des risques majeurs spécifiques à votre activité concerne les appareils d’imagerie dont les cycles technologiques se chiffrent en dizaines d’années. Comment faites-vous ?

Effectivement, les constructeurs embarquent des systèmes dans les appareils mais réaliser une mise-à-jour est compliqué, pas tellement pour des raisons techniques mais à cause des certifications obligatoires. Tout changement dans l’informatique embarquée nécessite une nouvelle certification. Il y a un débat réglementaire pour assurer les mises-à-jour tout en gardant la certification.

Pour la maintenance, il est évident que les techniciens ne viennent pas en permanence avec leurs tournevis sur chaque site. Ils ont recours à la télémaintenance, donc avec une connexion à distance sur nos systèmes. Mais la télémaintenance passe nécessairement par des bastions (Wallix en l’occurrence), un VPN et des comptes individuels nominatifs. Cela déplaît parfois car ce durcissement des accès n’est pas si courant et les techniciens changent. Mais si un technicien utilise le compte nominatif d’un autre, il engage leur responsabilité. L’essentiel reste qu’il n’y ait pas de compte de type Admin/1234.

Plus généralement, quelle est votre approche de la cybersécurité ?

Nous avons quatre axes d’actions.

D’abord, il faut conserver son SI en bonne santé. Cela veut dire un SI cartographié complètement et mis à jour. Il y a des progrès à faire en la matière car il y a une très grande diversité applicative (un bon millier d’applications) et une variété dans les failles à combler. Gérer les patchs, notamment en urgence avec des alertes Zero Day, suppose de disposer de fortes compétences. En plus, nous avons des risques d’effet papillon de certains correctifs qui entraînent des dysfonctionnements bloquants. Il nous faut donc qualifier les mises à jour avant de les déployer. Il y a un vrai problème avec les éditeurs qui, contractuellement, se dégagent de leur responsabilité naturelle. Les contrats sont parfois totalement fous ! Il faut rééquilibrer la relation entre utilisateurs et éditeurs.

Le deuxième axe est classique : la supervision et la protection. Sous ce chapeau, on trouve les antivirus, les EDR… Il y a un vrai débat sur la multiplication des éditeurs ou non : un seul éditeur propose en général un ensemble assez bien intégré tandis qu’une pluralité d’éditeurs entraîne une forte complexité.

Bien sûr, il faut aussi former les utilisateurs finaux, notamment face au phishing. C’est banal mais, face à un phishing très bien construit et ciblé, il est difficile de jeter la première pierre… Par contre, il faut insister sur la nécessité de ne rien stocker en clair sur un PC portable qui peut se faire voler. Et il faut apprendre à se méfier des réseaux sociaux et du phishing social.

Enfin, il faut parler de la résilience face aux cyber-attaques. Bien sûr, il y a la question de la cyber-résilience informatique. Mais, chez nous, le plus important est la résilience métier. Que fait-on si l’informatique ne fonctionne plus ? Il n’y a plus d’examens biologiques ou d’imagerie. Faut-il maintenir l’hôpital ouvert ? Avec quelles offre de soins ? Et quelles méthodes de travail ?

Souvent, on nous donne du budget d’investissement ce qui est évidemment nécessaire, mais on oublie le budget de fonctionnement et le budget pour avoir les compétences nécessaires au quotidien.

Vous êtes utilisateur de SAP ECC 6. Avez-vous prévu une évolution S/4Hana ?

Nous commençons à étudier le sujet. Si migration il y a, ce sera vers 2025-2026.

Quelles leçons, d’un point de vue IT, tirez-vous de la crise sanitaire Covid-19 ?

Comme tout le monde, d’abord, nous avons dû réorganiser notre fonctionnement afin de basculer en télétravail pour les fonctions administratives (pas le soin évidemment). Il a fallu développer les visioconférences, réduire au maximum les réunions, renforcer les lignes télécoms et les réseaux…

Mais nous avons aussi été obligés de créer des solutions rapidement face à une multitude de problèmes et de besoins soudains. Par exemple, l’app Covidom permettait un suivi des patients atteints de Covid et à domicile pour connaître l’évolution de leur état grâce à un questionnaire auto-administré. Sur certains critères, un médecin rappelait le patient. Et, le cas échéant, le patient était ramené à l’hôpital. Cette approche a permis de laisser beaucoup de patients à domicile et donc de désengorger les hôpitaux.

L’application SIDEP a été développée en sept semaines pour relier 4400 laboratoires d’analyses médicales à l’AP-HP afin de remonter les informations de dépistages. Puis il a fallu relier les pharmacies. Puis émettre les certificats sécurisés. Puis passer de 250 000 à 1,5 million de tests par semaine avec un évident problème de mise à l’échelle. Et tout ce qui concernait le Covid était évidemment extrêmement critique. La moindre panne bloquait l’émission des certificats indispensables dans beaucoup de cas de la vie courante ! En pic, il y a eu jusqu’à 1,3 million de tests par jour !

Peu de gens ont compris que la crise sanitaire Covid-19 a été la première crise majeure pilotée par les données : dépistages, hospitalisés, décès… Tous les chiffres étaient remontés et suivis au niveau gouvernemental et permettaient les prises de décision politiques.

Alors, oui, la situation a été professionnellement passionnante mais avec du travail 7/7 15 heures par jour et je n’ai jamais vu autant de contrôles de l’ANSSI et de la CNIL.

Et, oui, il faut tirer des leçons de cette crise. Il faut savoir s’armer pour une crise éventuelle qui, peut-être, n’arrivera jamais (pensez au problème des stocks de masques) ou différemment (problème de la Ligne Maginot). Et il faut gérer la redescente, savoir revenir à une situation normale tout en sachant, à tout moment, repartir.

Et n’oublions pas que nous avons été les meilleurs dans bien des cas. Par exemple, les américains ont mis 18 mois à disposer de leur équivalent de SIDEP. Le Royaume-Uni faisait son suivi sous Excel. Nous n’avons indubitablement pas été assez fiers de ce que nous avons réussi en France.

La guerre des talents est-elle un sujet pour l’AP-HP ?

Oui, bien sûr. Mais nous avons une chance : la santé intéresse. Les gens viennent chercher du sens même si le salaire reste une question à traiter (mais il reste correct tout de même). Et puis les projets sont passionnants : on travaille au quotidien avec des médecins, des chercheurs de haut niveau… Nos informaticiens ont une grande autonomie, ils ne sont pas perdus dans une équipe de deux cents personnes comme en banque.

Nous avons conclu un accord avec l’Epita. Nous assurons 200 heures de cours, par des ingénieurs ou des médecins de l’AP-HP, pour une majeure « santé » dans cette école d’ingénieurs. Au début, le recrutement a été difficile mais aujourd’hui, nous avons dans cette majeure 50 étudiants (10 ont dû être refusés) avec 25 % de femmes. Cette majeure n’est pas seulement destinée à nos propres recrutements mais aussi à ceux de nos fournisseurs.

La guerre des talents, on ne la gagne pas avec le salaire. Les informaticiens qui nous rejoignent, même s’ils ne font pas toute leur carrière chez nous, passeront à l’AP-HP les années les plus passionnantes de leur carrière.

Quels sont les défis que vous avez à relever pour les prochains mois et années ?

Evidemment, je vais citer en premier la cybersécurité. Les attaques peuvent faire cesser le soin !

Les Jeux Olympiques 2024 constitueront aussi un défi car nous sommes centre de référence pour les athlètes, les journalistes, les équipes, les participants…

Un autre défi est constitué par la data de recherche en santé. Nous avons besoin d’accélérer sur ce sujet et donc de budgets bien supérieurs à y consacrer. Financer les start-ups, cela ne suffit pas : il faut travailler sur la production de données métier. Les données de chimiothérapie doivent être préparées lors de leur sortie des appareils pour pouvoir être utilisables.

Le Move-to-cloud nous concerne aussi : les éditeurs vont y aller et nous entraîneront. D’autant que pour des domaines comme la bio-informatique, nous devons pouvoir acquérir des ressources à la demande. Nous serons sans doute amenés à externaliser certaines choses mais en conservant une très grande attention à la souveraineté.

Enfin, notons que la réglementation européenne sur l’IT et les datas est en très forte évolution, que ce soit de manière générale ou plus spécifiquement pour la santé, avec, parfois, une cohérence problématique entre textes. C’est d’autant plus complexe que l’approche éthique varie selon les pays. Il est nécessaire que la France porte davantage sa voie sur le sujet pour influencer les positions européennes.